Tak złodzieje oszukują klientów banków w internecie

Zespół ING

Zespół ING

Artykuły (86)

Inspirujemy i motywujemy w Społeczności ING

30-04-2015

W ostatnim roku liczba cyberataków wzrosła o 41 proc. - wynika z badań przeprowadzonych przez PwC.Fałszywe e-maile, podstępne sms-y czy też nieuczciwe aukcje internetowe, to tylko kilka oszustw, jakie czyhają m.in. na klientów banków. Opisujemy najczęściej spotykane rodzaje tzw.  phisingu i podpowiadamy jak ich unikać.

Metody działania złodziei ewoluują wraz z rozwojem elektronicznych kanałów dostępu. Do niedawna kradzież pieniędzy z bankowego skarbca kojarzyła się głównie z efektownym napadem na bank, jaki dobrze znamy z hollywoodzkich produkcji. Dziś takie napady przechodzą powoli do lamusa, bo złodzieje znacznie częściej atakują sprzed ekranów swoich komputerów. Znaleźli bowiem jedno słabe ogniwo w systemach zabezpieczeń wszystkich banków: ich klienta.

Sforsowanie zabezpieczeń stosowanych przez banki w systemach bankowości elektronicznej jest praktycznie niemożliwe. Dlatego przestępcy próbują się tam dostać używając…  prawidłowych danych do logowania. Skąd je biorą? Od klientów, którzy sami przekazują im takie informacje. Banki przyznają, że najsłabszym punktem w całym łańcuchu zabezpieczeń jest klient. Na nic zdadzą się najlepsze blokady, jeśli posiadacz konta sam otwiera sejf złodziejom.

Oszuści łowią naiwnych

Jedną z najpopularniejszych technik stosowanych przez oszustów jest phishing. Jest kilka teorii, skąd wzięła się ta nazwa, ale najpopularniejsza z nich mówi, że jest to połączenie dwóch angielskich słów: password i fishing (hasło i łowienie). Metoda ta polega bowiem na łowieniu naiwnych, którzy sami udostępnią hasło do swojego konta. Atak za każdym razem przebiega tak samo. Oszuści wysyłają maila, który do złudzenia przypomina wiadomość wysłaną przez bank. Różni się oczywiście domena nadawcy, ale na pierwszy rzut oka łatwo można się nabrać. W informacji znajduje się polecenie, by natychmiast zalogować się na swoje konto. Pretekstem może być blokada konta czy aktualizacja danych adresowych.

W informacji znajduje się link kierujący do systemu bankowości internetowej. Jednak w rzeczywistości klient przenoszony jest na fałszywą stronę, która jest niemal identyczna jak prawdziwa witryna banku. Różni się tylko jednym szczegółem: nie zgadza się adres. Brakuje tam protokołu https://, który gwarantuje bezpieczne połącznie. Klient, który nie zwróci na to uwagi, naraża się na ogromne ryzyko. W kolejnym kroku przekazuje bowiem swoje dane do logowania, które trafiają bezpośrednio w ręce złodziei.

„Podaj nam dane do logowania i kody ze zdrapki”

Dalej atak może przebiegać na dwa sposoby. Do niedawna klient proszony był o wprowadzenie kilku kolejnych kodów z karty zdrapki w specjalnym formularzu. Kody te były poprzednikiem haseł SMS służących do autoryzacji transakcji, ale nadal w części banków obowiązują takie listy. Jeśli klient dał się nabrać i wpisał kilka kolejnych kodów z karty zdrapki, to przekazywał te informacje oszustom. W ten sposób dostawali w swoje ręce dane do logowania i kody autoryzacyjne. Te informacje wystarczą do zalogowania się na konto i zlecenia przelewu.

W celu zabezpieczenia klientów przed tego typu atakami banki wprowadziły kody SMS wysyłane na numer telefonu klienta. Ale i z tym poradzili sobie oszuści. Nowoczesne telefony komórkowe pozwalają klientom instalować różnego rodzaju aplikacje. Wykorzystują to przestępcy, którzy próbują zainfekować wirusem telefon klienta.

Atak na komórki, czyli phishing 2.0

Phishing w nieco nowszym wydaniu różni się trochę od ataku „starego typu”. Pierwszy krok jest podobny – klient proszony jest o zalogowanie się na fałszywej stronie banku. Po wprowadzeniu danych, nie jest jednak proszony o podanie kodów z karty zdrapki, a o zainstalowanie specjalnego oprogramowania antywirusowego. Na wskazany przez klienta numer telefonu zostaje wysłany link z adresem pod którym dostępna jest aplikacja „antywirusowa”. W rzeczywistości instaluje program, który infekuje telefon komórkowy.

Jak może działać wirus na telefonie? W jednym ze scenariuszy ukrywa hasła SMS, które bank przesyła klientowi do autoryzacji przelewu. Przestępcy mają już dane do logowania, więc mogą w systemie bankowości internetowej przygotować przelew wychodzący z konta. Żeby go wykonać, muszą jednak autoryzować dyspozycję SMS-em. Kod przyjdzie na telefon klienta, ale zainstalowany „antywirus” nie wyświetli powiadomienia i automatycznie przekieruje hasło oszustom. To wystarczy im do zlecenia przelewu i wyczyszczenia konta.

Nie uchroni hasło maskowane

Co ciekawe, na ataki phishingowe nie są narażeni klienci tylko tych banków, które podczas logowania wymagają wpisania pełnego loginu i hasła. Złodzieje stosują swoje sztuczki nawet wtedy, gdy bank wykorzystuje hasło maskowane. Kiedy klient trafi już na fałszywą stronę i spróbuje się zalogować, najpierw poproszą go o kilka wybranych liter z hasła maskowanego. Na przykład co drugą, parzystą. Kiedy je wprowadzi i spróbuje się zalogować, strona wyświetli błąd. Poprosi o ponowne zalogowanie, ale tym razem zażąda wprowadzenia znaków nieparzystych. W ten sposób w ręce oszustów trafi całe hasło maskowane.

Do niedawna atak phishingowy można było łatwo rozpoznać, bo pisany był nieudolną polszczyzną. Takie ataki przeprowadzali z reguły hakerzy z zagranicy. Dziś jednak fałszywa korespondencja pisana jest z reguły starannie, z zachowaniem poprawnych reguł pisowni. Dlatego należy zachować szczególną ostrożność.

Szkodnik w płaszczu windykatora

Innym sposobem na wyłudzenie danych jest próba zainfekowania wirusem komputera. Można zainfekować sprzęt samemu instalując oprogramowanie z niesprawdzonych źródeł, ale i sami złodzieje potrafią podrzucić wirusa. Na losowo wybrane adresy e-mail wysyłają fałszywą wiadomość zawierającą załącznik. Może to być na przykład informacja z fałszywym wyciągiem z konta, albo groźnie brzmiący e-mail z działu windykacji przypominający o zaległym kredycie. Klient, który otworzy załącznik, zainfekuje swój komputer wirusem.

Na pierwszy rzut oka nic się nie dzieje. Ale taki szkodnik może działać na różne sposoby. Na przykład może „podsłuchiwać” jakie znaki wpisujemy na klawiaturze i wyłapywać loginy i hasła do bankowości internetowej. Następnie bez wiedzy klienta przekazuje je dalej. Może też „w locie” podmieniać stronę do logowania na fałszywą. Klient wpisuje prawidłowy adres banku w pasku, ale w rzeczywistości następuje przekierowanie na fałszywą witrynę. Kiedy się tam zaloguje, wyświetli się komunikat z prośbą o pilne zainstalowanie programu „antywirusowego” na telefonie komórkowym. I dalej procedura przebiega już podobnie, jak w opisanym wyżej przypadku phishingu 2.0.

Oszuści przekręcą numer

Wirus może jednak działać w inny sposób. Na przykład podmieniać numer rachunku, który wklejamy do schowka w celu wykonania przelewu. Kopiujemy do schowka numer konta sklepu internetowego, a sekundę później wklejamy do formularza podstawiony przez szkodnika numer konta. W efekcie sami przelewamy pieniądze złodziejowi. Bank nie musi weryfikować, czy nazwa odbiorcy jest powiązana z numerem. Jeśli numer konta składa się z prawidłowej kombinacji cyfr, bank uznaje go za poprawny i realizuje dyspozycję. Dlatego banki stosują mechanizmy zabezpieczające wklejanie numerów ze schowka. Na przykład w ING Banku Śląskim po wklejeniu numeru trzeba ręcznie wpisać dwie pierwsze cyfry.

Nie oznacza to jednak, że unikniemy oszustw wpisując każdorazowo ręcznie numer. Zidentyfikowano już wirusa, który podmienia numer rachunku „na oczach” użytkownika bankowości internetowej. Klient wpisuje cyfry na klawiaturze komputera, ale w rzeczywistości w formularzu pojawia się numer konta oszustów.

Jak pokazują powyższe przykłady, oszuści są coraz bardziej pomysłowi. Nie oznacza to jednak, że klienci są bez szans. Wszystkich ataków da się uniknąć zachowując zdrowy rozsądek i pamiętając o tym, że:

  1. Bank nigdy nie wysyła w e-mailach linków do systemów transakcyjnych. Jeśli dostaniesz taką wiadomość, nie reaguj i powiadom infolinię;
  2. Bank nigdy nie nalega, by klient zainstalował dodatkowe oprogramowanie wirusowe;
  3. Bank nie wysyła elektronicznych wyciągów z konta spakowanych do pliku .ZIP;
  4. Bank nie prosi o podanie kilku kodów z karty zdrapki pod rząd.

Zapamiętaj: zawsze sprawdzaj adres strony na której się logujesz. Jeśli dostaniesz wiadomość e-mail i masz wątpliwości co do jej autentyczności, zadzwoń na infolinię. 

 

Źródło zdjęcia: fotolia.com